Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Michel, Je te préviens ici car je peux plus te faire de mail :) Delivery to the following recipient failed permanently: mic...@arneill-py.sacramento.ca.us Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the server for the recipient domain arneill-py.sacramento.ca.us by arneill-py.sacramento.ca.us. [50.1.8.254]. The error that the other server returned was: 550 5.7.1 Recipient not authorized, your IP has been found on a block list Je crois que t'as blacklisté Gmail. Bon, ça se défend hein... David Ponzone > Le 21 janv. 2016 à 04:42, Michel Pya > écrit : > > Bonjour à tous, > > Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille > bash / python en beta-test pour en faire une "vraie" app : les préfixes dans > une base de données sqlite3 avec des dates. Et des communautés BGP séparées, > par demande populaire. > > La question du jour : quand un { zombie | abruti | mec avec des gros doigts | > hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au > premier essai. Pour combien de temps ? 24 h ? > > Michel > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Le Thu, Jan 21, 2016 at 01:11:00PM +0100, Pierre Colombier [pcdw...@pcdwarf.net] a écrit: > Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un > coup à se bloquer soi-même et à avoir des effets indésirables. > (je fait partie des utilisateurs à gros doigts) > Mais il y a aussi le problème des 50 usagers derrière un nat. ça > serait même étonnant qu'il n'y ait pas 3 échecs le matin quand tout > le monde se log. C'est pour ca que y'a une liste blanche dans la configuration de fail2ban :) ( -> ignoreip ) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Entièrement d’accord avec toi. Le fail2ban, c’est surtout pour arrêter d’avoir de la merde dans les logs. Pour les gros doits de l’admin, y a ignoreip :) > Le 21 janv. 2016 à 13:11, Pierre Colombiera écrit : > > Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se > bloquer soi-même et à avoir des effets indésirables. > (je fait partie des utilisateurs à gros doigts) > Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même > étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log. > > Mais surtout, je ne saisis pas la pertinence en termes de sécurité : > > Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te > protègera, quelque soit le seuil. > > Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10 > minutes. > Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se > faire débloquer. > Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé. > > L'autre souci avec des ban longs et des seuils bas, c'est que tu va te > traîner des tables de ban assez volumineuses alors que l'attaque a cessé très > peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi > des problèmes de perf. > > Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui > compte, c'est avant tout d'empecher le déni de service. > Personnellement j'emploie ça > > - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même > temps ça fait réfléchir l'utilisateur étourdi) > - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir > affaire a un humain et ban pendant 1 heure. > Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de > passe n'est pas trop bidon ça peut tenir des siècles... > - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui > s'obstine ou qui joue avec les seuils de détection => ban 8 jours. > > > > On 21/01/2016 07:44, David Ponzone wrote: >> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. >> >> David Ponzone >> >> >> >>> Le 21 janv. 2016 à 04:42, Michel Py a >>> écrit : >>> >>> Bonjour à tous, >>> >>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille >>> bash / python en beta-test pour en faire une "vraie" app : les préfixes >>> dans une base de données sqlite3 avec des dates. Et des communautés BGP >>> séparées, par demande populaire. >>> >>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts >>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la >>> moulinette au premier essai. Pour combien de temps ? 24 h ? >>> >>> Michel >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se bloquer soi-même et à avoir des effets indésirables. (je fait partie des utilisateurs à gros doigts) Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log. Mais surtout, je ne saisis pas la pertinence en termes de sécurité : Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te protègera, quelque soit le seuil. Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10 minutes. Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se faire débloquer. Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé. L'autre souci avec des ban longs et des seuils bas, c'est que tu va te traîner des tables de ban assez volumineuses alors que l'attaque a cessé très peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi des problèmes de perf. Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui compte, c'est avant tout d'empecher le déni de service. Personnellement j'emploie ça - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même temps ça fait réfléchir l'utilisateur étourdi) - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir affaire a un humain et ban pendant 1 heure. Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de passe n'est pas trop bidon ça peut tenir des siècles... - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui s'obstine ou qui joue avec les seuils de détection => ban 8 jours. On 21/01/2016 07:44, David Ponzone wrote: Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. David Ponzone Le 21 janv. 2016 à 04:42, Michel Pya écrit : Bonjour à tous, Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash / python en beta-test pour en faire une "vraie" app : les préfixes dans une base de données sqlite3 avec des dates. Et des communautés BGP séparées, par demande populaire. La question du jour : quand un { zombie | abruti | mec avec des gros doigts | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au premier essai. Pour combien de temps ? 24 h ? Michel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
pareil, j'utilise des bans exponentiels. premier ban -> drop une heure. si ça recommence 6h apres la fin de la premiere periode -> une semaine. si ça recommence dans les six semaines apres la fin de la seconde -> un an. On 01/21/2016 07:44 AM, David Ponzone wrote: > Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. > > David Ponzone > > > >> Le 21 janv. 2016 à 04:42, Michel Pya >> écrit : >> >> Bonjour à tous, >> >> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille >> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans >> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, >> par demande populaire. >> >> La question du jour : quand un { zombie | abruti | mec avec des gros doigts >> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette >> au premier essai. Pour combien de temps ? 24 h ? >> >> Michel >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
: host arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not authorized, your IP has been found on a block list (in reply to RCPT TO command) promis c'est pas moi le vilain qui essaie de telnet en root ;) On 01/21/2016 10:10 AM, Edouard Chamillard wrote: > pareil, j'utilise des bans exponentiels. premier ban -> drop une heure. > si ça recommence 6h apres la fin de la premiere periode -> une semaine. > si ça recommence dans les six semaines apres la fin de la seconde -> un an. > > > On 01/21/2016 07:44 AM, David Ponzone wrote: >> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. >> >> David Ponzone >> >> >> >>> Le 21 janv. 2016 à 04:42, Michel Py a >>> écrit : >>> >>> Bonjour à tous, >>> >>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille >>> bash / python en beta-test pour en faire une "vraie" app : les préfixes >>> dans une base de données sqlite3 avec des dates. Et des communautés BGP >>> séparées, par demande populaire. >>> >>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts >>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la >>> moulinette au premier essai. Pour combien de temps ? 24 h ? >>> >>> Michel >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Merci à tous pour les retours, L'avantage de faire çà avec un feed BGP au lieu de { fail2ban | snort | suricata } c'est que c'est facile à redistribuer en temps réel. Pas besoin d'attendre que çà se retrouve dans les rules. > Pierre Colombier a écrit : > Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se > bloquer soi-même > et à avoir des effets indésirables. (je fait partie des utilisateurs à gros > doigts) Sauf que je ne me sers jamais de telnet pour me logger en root. > Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même > étonnant > qu'il n'y ait pas 3 échecs le matin quand tout le monde se log. Pareil : pas sur mon routeur, et pas en root. > Edouard Chamillard a écrit : > arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not > authorized, > your IP has been found on a block list (in reply to RCPT TO command) Ah, la lute contre le spam, le quotidien de bien des lecteurs, dont on se passerait volontiers. C'est quoi l'IP de laquelle tu venais ? Je vérifie mon IP tout le temps ici: http://mxtoolbox.com/blacklists.aspx Je viens de vérifier les trois IP qui étaient dans le header SMTP ( 217.24.82.4, 87.98.174.144, 213.186.33.56 ) et elles étaient vertes toutes les trois. Pour le spam j'utilise 5 listes (commentaires bienvenus) : zen.spamhaus.org dnsbl.sorbs.net bl.spamcop.net truncate.gbudb.net spamsources.fabel.dk Et en plus de çà Symantec Mail Security for Exchange (liste propriétaire et payante) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. David Ponzone > Le 21 janv. 2016 à 04:42, Michel Pya > écrit : > > Bonjour à tous, > > Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille > bash / python en beta-test pour en faire une "vraie" app : les préfixes dans > une base de données sqlite3 avec des dates. Et des communautés BGP séparées, > par demande populaire. > > La question du jour : quand un { zombie | abruti | mec avec des gros doigts | > hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au > premier essai. Pour combien de temps ? 24 h ? > > Michel > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Bonjour à tous, Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash / python en beta-test pour en faire une "vraie" app : les préfixes dans une base de données sqlite3 avec des dates. Et des communautés BGP séparées, par demande populaire. La question du jour : quand un { zombie | abruti | mec avec des gros doigts | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au premier essai. Pour combien de temps ? 24 h ? Michel --- Liste de diffusion du FRnOG http://www.frnog.org/